RİSKİN DEĞERLENDİRİLMESİ VE DEĞERLENDİRİLMİŞ RİSKLERE KARŞILIK VERME HAZIRLAYANLAR Prof. Dr. Nuran CÖMERT Prof. Dr. Şaban UZAY Doç. Dr. Süleyman UYAR
Amaçlarımız Bu bölümü tamamladıktan sonra; aşağıdaki bilgi ve becerilere sahip olabileceksiniz: Denetimde risk değerlendirmesi, Risk değerlemesinin üç aşaması, Denetimin planlanması ve denetim stratejisinin oluşturulması, Denetimde önemlilik düzeyinin belirlenmesi, Denetim ekibi toplantıları, Denetimde doğal ve hile riskini değerlendirme prosedürleri, Risk değerlendirme çalışmalarının sonuçlandırılması, Riskeler karşılık verme ve ayrıntılı denetim prosedürleri Anahtar Kavramlar Risk Risk değerlendirme Önemlilik İç kontrol Risk türleri Önemli yanlışlık riski Denetim planı Denetim prosedürleri Denetim testleri Denetim programı 1
Özet Risk Değerlendirilmesine Genel Bakış (Özet): Finansal tabloların bağımsız denetim süreci müşterinin kabulüyle başlayan, genel denetim stratejisi çerçevesindeki plan ve programlar dâhilinde yürütülen ve en sonunda raporlama ile sonuçlanan bir dizi eylemleri kapsar. Denetimin planlanması müşteri işletmenin kabulü ve bu aşamada gerçekleştirilen başlangıç denetim planlaması da dâhil olmak üzere oluşturulacak bir denetim stratejisi yaklaşımı çerçevesinde gerçekleştirilen denetim amacına uygun bir dizi eylemden oluşan bir süreçtir. Sürecin her aşamasının belgelendirilmesi ve gelişmelere göre her aşamada gerekli değişikliklerin yapılması gerekir. Bu sürecin aşamaları aşağıda verilen şekilde özetlenmiştir. Önemlilik Düzeyinin Belirlenmesi: Denetimde önemlilik kavramı; bilginin açıklanmaması, yanlıs veya eksik açıklanması nedeniyle finansal tabloları esas alarak karar veren finansal tablo kullanıcılarının ekonomik kararlarını etkileyebilecek hususlar olarak tanımlanmaktadır. Denetci, denetim sürecinde temel olarak iki türde önemlilik yargısı/kararı olusturacaktır. Birinci karar denetim sürecinin başında oluşturulan başlangıç önemlilik düzeyi kararıdır. İkinci önemlilik düzeyi kararı ise denetim sürecinin sonunda denetim raporu yazarken yararlanılacak önemlilik düzeyi kararıdır. Bu yargısal kararlar denetçinin iki tip önemlilik düzeyi belirlemesini gerektirmektedir. Başlangıç önemlilik tutarı ve performans önemlilik tutarı. Başlangıç önemlilik tutarı kendi içinde iki aşamalıdır. İlk aşamada bir bütün olarak finansal tabloların geneli için önemlilik tutarı belirlemek, ikinci aşamada işlem sınıfları hesap bakiyeleri ve açıklamalar için önemlilik düzeyi oluşturmak. Denetçinin eğer uygulanabilir ise belli işlem sınıfları, hesap bakiyeleri ve açıklamalar için önemlilik tutarı belirlemesi gerekir. Buna performans önemliliği denir. Bu önemlilik düzeyinin belirlenmesinde dikkate alınacak faktörler standartta açıklanmıştır. Performans önemliliği finansal bilgi kullanıcılarının alacakları ekonomik kararlarını makul ölçüde etkilemesi beklenen finansal tablo alanlarına uygulanır. Özellikle potansiyel yatırımcıların özel bir duruma bağlı olarak belli bir hesap grubuyla ilgisi söz konusuysa denetçinin bu denetim alanıyla ilgili performans önemlilik düzeyi belirlemesi gerekir. Performans önemlilik düzeyinin nasıl hesaplanacağı yargısal bir karar olup uygulamada finansal tablonun geneli için belirlenen önemlilik düzeyinin belli bir yüzdesi kullanılmaktadır. Esasen her türdeki önemlilik düzeyinin belirlenmesi denetçinin mesleki yargısına dayalı bir karar olmakla birlikte 320 nolu UDS, hem bir bütün olarak finansal tablolar için önemliliğin belirlenmesinde baslangıç noktası olarak seçilen bir kıyaslama ölçütü (benchmark) ve ona tatbik edilecek yüzdenin belirlenmesinde dikkate alınacak faktörleri hem de hesap bakiyesi, işlem sınıfları ve açıklamalarla ilgili önemlilik düzeyinin belirlenmesinde denetçinin dikkat etmesi gereken hususları açıklamıştır. Uygulamada finansal tabloların geneli için ve hesap düzeyinde önemlilik düzeyinin hesaplanmasında kullanılan çeşitli teknikler bulunmaktadır. Denetçi ISA 320 de sıralanan faktörleri de dikate alarak bu yöntemlerden birini veya bir kaçını kullanabilir. Denetçinin denetimin ilerleyen aşamalarında her hesap ya da işlem kalemiyle ilgili olarak bulduğu bütün yanlışlıkları bir çalışma kağıdına not etmesi gerekmektedir. Denetçi bu şekilde bulduğu yanlışlıkların toplam tutarını başlangıçta öngörülen yanlışlık tutarıyla karşılaştırır. Birleştirilmiş yanlışlık tutarının başlangıçta öngörülen yanlışlık tutarına eşit ya da ondan daha az olması gerekir. Eğer bu karşılaştırmada birleştirilmis yanlışlık tutarı daha fazla çıkarsa finansal tablolar kabul edilemez demektir. Bu takdirde denetçi ya ilave denetim teknikleri uygulayarak beklenen yanlışlık tutarının gerçekten başlangıç yanlışlık tutarını aşıp aşmadığını belirleyebilir ya da beklenen hatalar için işletme yönetiminin düzeltme yapmasını isteyebilir. 2
Risk Değerlendirme Yöntemlerinin Uygulanması: Denetim riski, denetçinin denetimi tamamlayıp olumlu görüş açıkladıktan sonra, finansal tablolarda önemli ölçüde yanlışlıklarla karşılaşma olasılığının değerlenmesidir. Denetçi denetim riski düzeyini düşük tutmak ister, yani finansal tabloların önemli yanlışlıklar içermemesini ister. Hesap kalemi ve işlem grubu düzeyinde ve ilgili iddia için veya açıklama düzeyinde denetim riski iki tür riskten meydana gelir. Bunlar: a) Yanlışlık riski (yapısal risk ve kontrol riski), b) Bulgu riskidir. Denetçi yapısal risk ve kontrol riskini ayrı ayrı değerleyebileceği gibi, ikisini birlikte önemli yanlışlık riski olarak da değerleyebilir. Risk modelinde yer alan risklerin hiç biri, denetimin sınırlarından dolayı sıfır olamaz. UDS 315 e göre, denetçi önemli yanlışlık riskini tanıma ve değerleme çalışmasını iki düzeyde gerçekleştirir. Bunlar: a) Finansal tablo düzeyinde, b) İşlem grupları, hesap kalanları ve açıklamalar için iddia düzeyinde. Denetçinin, denetim risklerini değerlemeden amacı, söz konusu risklere karşılık vermesi yani uygulayacağı denetim testlerini tasarlamasıdır. Hileden kaynaklanan önemli yanlış beyanların finansal tablolara yansıma olasılığı olarak tanımlanan hile riski, doğal risk ve kontrol riski ile yakın ilişkilidir. Bir işletmede yapısal risk ve kontrol riskinin yüksek olması hile riskinin de yüksek olacağını gösterir. UDS 240 a göre, bağımsız denetçi, hem varlıkların yanlış kullanımı (çalışan hilesi) hem de hileli finansal raporlama ile sonuçlanan kasıtlı yapılan yanlışlıklarla ilgilenir. Ancak denetçi, kesinlikle hilenin gerçekten meydana gelip gelmediği konusunda yasal bir saptama yapamaz. Denetçi hile risklerini tanımlayıp, belgelendirdikten sonra, müşteri işletmede hile riskini azaltacak mekanizmaların olup olmadığını da araştırır. Hile riski ile bilgi teknolojileri arasında da yakın ilişki vardır. Zayıf tasarlanan veya yetersiz kontrollere sahip olan bilişim teknolojisine sahip işletmelerde hileli finansal raporlamaya rastlanabilir. Müşteri işletmenin finansal raporlama süreci başta olmak üzere, BT ortamını ve kontrollerini tanıyan, BT risklerini değerleyen denetçinin, riske karşılık verme aşamasında günümüz iş ortamında BT denetiminden yararlanması kaçınılmazdır. Denetimde Risk Değerlendirme ve İç Kontrol: İşletmenin içinde bulunduğu değişken koşullar, değişen risk faktörlerini de beraberinde getirmektedir. İşletmenin amaçlarına ulaşması için, sürdürebilirliği sağlamak için etkin bir risk yönetimine sahip olması, bu kapsamda anlamlı risklerini değerlemesi ve bunlara önlem alması gerekir. Riske karşılık vermek olarak tanımlanan iç kontroller ve iç kontrollerden oluşan iç kontrol sistemini oluşturmak ve etkin bir şekilde sürdürmek işletme yönetimin sorumluluğudur. Bağımsız denetçinin sorumluluğu ise, denetim çalışmalarını planlama, müşteri işletmeyi tanıma sürecinde, işletmenin hem kontrol ortamını hem de süreçlerde yer alan kontrollerini öğrenmesidir. Denetçi COSO raporunda belirlenen kontrol kısımlarını esas alarak müşteri işletmenin iç kontrollerini tanır. Denetçinin asıl ilgilendiği kontroller, finansal raporlamaya ilişkin kontroller olmakla birlikte işletmede işlerin yapılış şekli (süreçler) ile ilgili kontroller, dolaylı yoldan finansal raporlarla da ilgilidir. Denetçi başlangıç kontrol riskini değerledikten sonra, denetim programı kapsamında kontrol testlerini uygulamaya karar verebilir. Böylece tasarlanan kontrollerin etkinliğini test eder. Denetçi kontrol testlerini gerçekleştirirken; gözlem, görüşme, belge ve kayıtların incelenmesi, süreçlerin yeniden gerçekleştirilmesi gibi denetim tekniklerden yararlanır. Denetçi kontrol testlerinin sonuçlarından yararlanarak, nihai kontrol riskini değerler. Denetçi kontrol testlerini ve KR değerleme sürecinin sonuçlarından, bulgu riskini ve ilgili destekleyici testleri belirlemede yararlanır. Denetçi, şayet varsa müşteri işletmenin iç denetçisi ile koordineli bir şekilde çalışabilir. Bunun için denetçinin, iç denetçinin bağımsızlığını, mesleki niteliğini ve çalışmalarını değerlemesi gerekir. Denetçiden ayrıca denetim çalışmaları sırasında saptamış olduğu iç kontrol eksikliklerini müşteri işletme yönetimine bildirmesi beklenir. 3
Bir Hizmet Kuruluşu Kullanan İşletmeye İlişkin Denetim Hususları: Bu standart, bir işletmenin bir hizmet kuruluşunu (organizasyonunu) kullanımının, işletmenin iç kontrol ve muhasebesi üzerinde nasıl bir etkisi olduğunun belirlenmesine, önemli yanlışlık riskinin değerlendirilmesine ve bu kapsamda gerekebilecek ek bağımsız denetim tekniklerinin (testlerinin) tasarlanması ve uygulanmasına ilişkin ilke, usul ve esaslar belirlemektir. Dolayısıyla, denetçinin, önemli yanlışlık risklerini değerlendirmek ve bunlara cevaben ilave denetim prosedürlerini tasarlamak için yeterli bilgi elde etmesi gerekmektedir. Hizmet kuruluşu denetçileri tarafından hazırlanan raporlar iki tür olup, bunlar: a) Tip A - Rapor: İç kontrolün tasarımı ve uygulanışına ilişkin rapordur. B) Tip - B Rapor: İç kontrolün tasarımı, uygulanışı ve işleyiş etkinliği konusunda rapordur.b tipi raporlar, kontrol testine de imkan verdiğinden denetim kanıtı olarak kullanılabilir. Bir hizmet kuruluşunun denetçisinden gelen bir rapor kullanıldığında, müşterinin denetçisinin raporu, denetçinin hizmet kuruluşu konusundaki raporuna referans göstermemelidir. Denetim Sırasında Belirlenen Yanlışlıkların Değerlendirilmesi ve Risk Değerlendirme Aşamasının Sonuçlandırılması: UDS 450, denetçinin denetimde saptanan yanlışlıkların finansal tablolardaki düzeltilmemiş yanlış beyanların etkilerini değerlendirilmesi konusunda denetçinin sorumluluğunu hatırlatır. Çünkü denetçinin amacı; a) Denetim süresince tespit edilen yanlışlıkların etkileri ile, b) (Varsa) finansal tablolarda düzeltilmemiş yanlış beyanların etkilerini değerlendirmektir. Denetçinin düzeltme talebi, finansal tabloların her açıdan gerçeği yansıtmasına yönelik olup, tutar, sınıflandırma, sunum ve açıklamaların düzeltilmesi içerir. Riske Karşılık Verme: UDS 300 e göre; denetçi, denetim riskini kabul edilebilir düşük bir düzeye indirmek için denetim planı geliştirmelidir. Gerek denetim stratejisi gerekse denetim planı denetim süresince ihtiyaç olduğunda güncellenebilir. Ayrıntılı denetim planının amacı, tanımlanan ve değerlendirilen risklere uygun şekilde cevap vermek, ve bu şekilde denetim riskini kabul edilebilir düşük bir düzeye indirmektir. Ayrıntılı denetim planı; değerlendirilen riskler ve ilave denetim prosedürleri arasında açık bir bağlantı sağlar, söz konusu ilave denetim prosedürlerinin yapısını, zamanlamasını ve boyutunu genel hatları ile belirler (kontrol testleri ve bağımız prosedürler). Uygulanacak ilave denetim prosedürlerinin yapısı, zamanlaması ve boyutu; değerlendirilen risklere cevap vermelidir, denetim riskini kabul edilebilir bir düzeye indirmelidir, her bir önemli işlem sınıfı, hesap bakiyesi ve açıklama için değerlendirilen önemli yanlış beyan risklerine cevap vermelidir. Ayrıntılı Denetim Prosedürleri; UDS 330 a göre denetçi, değerlendirilen yanlış beyan riskinden bağımsız olarak, her bir önemli işlem sınıfı, hesap bakiyesi ve açıklama için maddi doğrulama testleri (prosedürleri) tasarlamalı ve gerçekleştirmelidir. UDS 315 e göre ayrıca, denetçi iddia düzeyinde değerlendirilen bir yanlışlık riskinin önemli bir risk olduğunu saptamışsa, söz konusu riske özel olarak cevap veren maddi doğrulama testlerini gerçekleştirmek zorundadır. Yukarıda açıklandığı gibi iki tür maddi doğrulama testi bulunmaktadır: a) Ayrıntılı testler, b) Maddi (Asıl) analitik prosedürleridir. Düşük değerlenmiş KR düzeyini desteklemek ve kontrollerin etkinliğini test etmek için gerçekleştirilen prosedürlere kontrol testleri adı verilmektedir. Denetçinin varlığını öğrendiği kontrollerin etkin şekilde kullanılıp kullanılmadığını saptaması gerekmektedir. KT lerin sonuçları beklendiği gibi kontrolleri desteklerse, denetçi aynı KR düzeyini kullanmaya devam eder. Ancak denetçi, kontrollerin etkin uygulanmadığını saptamışsa, KR düzeyini yeniden değerlemesi gerekecektir. 4
Raporlama Evet Risk Yanıtı Risk Değerlendirmesi Faaliyet Amaç Belgelendirme Ön sözleşme faaliyetlerinin gerçekleştirilmesi Sözleşmenin kabulune karar verilmesi Risk faktörlerinin listelenmesi, Bağımsızlık, Sözleşme Denetimin planlanması Genel denetim stratejisi ve planının geliştirilmesi Önemlilik, Denetim ekibi görüşmeleri, Genel denetim stratejisi Risk değerlendirme prosedürlerinin gerçekleştirilmesi İşletmedeki ÖYR nin anlaşılmasına yönelik tanımlama/değerlendirme Önemli riskleri de içeren iş & hile riskleri İlgili iç kontrollerin tasarlanması / uygulanması Finansal tablo düzeyinde & iddia (beyan) düzeyinde ÖYR değerlemesi Yanıt olarak genel ve daha detaylı denetim prosedürlerinin tasarlanması Değerlendirilen ÖYR ye uygun karşılıkların geliştirilmesi Genel stratejinin, güncellenmesi, Genel yanıtlar (karşılıklar) Değerlendirilen ÖYR ile detaylı denetim prosedürlerini bağlayan dentim planı Değerlendirilen ÖYR lere yanıtların verilmesi Denetim riskini kabul edilebilir derecede düşük bir seviyeye indirgemek Denetimin gerçekleştirilmesi, Denetim kanıtları, Denetim ekibinin gözetimi, Çalışma kağıtlarının incelenmesi Hayır Elde edilen denetim kanıtlarının değerlendirilmesi Ek çalışma gerekiyor mu (Gerekiyorsa) Ek denetim çalışmasınaın gerekip, gerekmeyeceğine karar verimesi Yeni/Revize risk faktörleri ve denetim prosedürleri Önemlilikte değişiklikler Denetim bulguları hakkında iletişim Gerçekleştirilen denetim prosedürlerine ilişkin sonuçlar Denetim raporunun hazırlanması Denetim kanıtlarına dayanılarak bir görüş oluşturulması Önemli kararlar, İmzalanan denetim görüşü Şekil: Risk Esaslı Denetim Genel Bakış (Kaynak: Mazars 2012; IFAC 2011) 5
1. RİSKİN DEĞERLENDİRİLMESİ Risk odaklı (esaslı) denetim, işletmenin kendisinin ve başlıca risklerinin anlaşılmasıyla başlamakta ve böylece denetçi, kaynaklarını düşük riskli alanlara tahsis etmeksizin, yüksek etki düzeyine sahip önemli risklere odaklanarak denetimi gerçekleştirmektedir. Risk odaklı denetim hem bağımsız denetim hem de iç denetim 1 için geçerli bir yaklaşımdır. İç denetçi, denetim önceliklerini belirlemek ve yüksek düzeyde riskli alanlara odaklanmak amacıyla risk yönetiminin bir parçası olarak risk değerlendirme sonuçlarından yararlanır. Denetçi, müşteri işletmede öncelikli risk unsurlarına göre denetim çalışmalarını yürütmeyi planlar. Risk odaklı denetim, denetimin etkinliğini artırır. Denetim esnasında hangi konular sorun teşkil eder? sorusuna denetçi cevap arar. Risk odaklı denetim bir teknik olduğu kadar aynı zamanda bir süreçtir (Tanç, 2009:141). İşletmenin risk yönetim yapısı ne kadar olgun ve gelişmiş ise bu durum, denetçinin işini kolaylaştırır. Risk esaslı denetim yaklaşımının aşamaları aşağıda şekilde belirtildiği gibi, müşteri işletmenin risklerini değerlendirme, değerlendirilmiş risklere yanıt (karşılık) oluşturma ve raporlamadır. Denetimde 3 adım yaklaşımına genel bakış aşağıdaki şekilde özetlenmiştir. 1. Risk değerlendirmesi Finansal tablolardaki ÖYB yi belirlemek ve değerlendirmek için risk değerlendirmelerini gerçekleştir. 3 ADIM 2. Risk yanıtı (Riske karşılık) Finansal tablo ve iddia (beyan) düzeylerinde değerlendirilmiş önemli yanlışlık risklerine karşılık, denetim prosedürlerini tasarla ve uygula. 3. Raporlama Elde edilen denetim kanıtlarını esas alarak bir görüş oluştur ve ulaşılan sonuçları uygun bir şekilde raporla. Denetim risk bileşenleri Doğal (yapısal) risk Kontrol riski Bulgu (tespit edememe) riski TEMEL KAVRAMLAR Bütünlük (Tamlık) Finansal Tablo Yönetim Beyanları Varolma Doğruluk & Hesap kesimi Değerleme ÖYR: Önemli Yanlışlık Riski Şekil: Denetimde 3 Adım Yaklaşımı 1 İç denetçiler, gerçekleştirdikleri denetimler ve katıldıkları projeler çerçevesinde işletmenin veya birimin risk profilini çıkarır, maruz kalınan veya kalınması olası risklere karşı iç kontrol sistemleri ile risk yönetim sistemlerini değerlendirirler. Risk odaklı iç denetim (risk based auditing) adı verilen bu yaklaşımda, denetimin odak noktasını yüksek riskli alanlar oluşturur. Böylece denetimde etkinliğin artırılması ile maliyet ve zaman tasarrufu sağlanmış olur. Uluslararası İç Denetçiler Enstitüsü (IIA), iç denetimde planlamaya ilişkin temel açıklamalarını Planlama başlıklı 2010 kodlu standartta belirtmektedir. Bu standarda göre; iç denetim yöneticisi, iç denetim faaliyetlerinin önceliklerini belirlemek amacıyla kurumun hedefleriyle uyumlu risk temelli planlar yapmalıdır. Ayrıca 2010-2:Denetim Planıyla Risk ve Risk Maruziyeti Arasında Bağlantı Kurulması başlıklı uygulama önerisinde; iç denetim faaliyetinin denetim planı, kurumu etkileyen ve etkileyebilecek risk ve risk maruziyetleri hakkında yapılan bir değerlendirmeye dayanması vurgulanmaktadır (Tanç, 2009:169). 6
(Kaynak: Mazars 2012; IFAC 2011) 1.1. RİSKİN DEĞERLENDİRİLMESİNE GENEL BAKIŞ UDS lere göre; denetçi, ister hileye ister hataya bağlı olsun finansal tablolardaki önemli yanlış beyan risklerini tanımlamaya ve değerlendirmeye ve ilave denetim prosedürleri tasarlayıp gerçekleştirmeye yetecek kadar, iç kontrol de dahil olmak üzere işletmeyi ve ortamını tanımalıdır. İşletmenin anlaşılması sürekli bir süreçtir ve denetim süresi boyunca devam etmektedir. UDS 315 e göre denetçi aşağıdaki yönlerden işletmeyi tanımalıdır: İlgili endüstriyi (sektörü), düzenlemeye ilişkin ve uygulanabilir finansal raporlama çerçevesi de dahil olmak üzere diğer dış faktörleri, İşletmenin yapısını, İşletmenin hedefleri ve stratejilerini ve finansal tabloların önemli yanlış beyana neden olabilecek ilgili iş risklerini, işletmenin finansal performansının ölçümü ve incelemesini tanımalıdır. Denetçi, işletmenin muhasebe politikaları seçimi ve uygulamasını anlamalı, ve bunların işi için neden uygun olduğunu ve ilgili endüstride kullanılan uygulanabilir finansal raporlama çerçevesi ve muhasebe politikaları ile tutarlı olduğunu değerlendirmelidir. İşletmenin yapısının ve ortamının anlaşılması, ilgili bölümlerde ele alınacak olup aşağıdaki adımları içermektedir: - Risk Değerlendirme Prosedürleri Nelerdir? - İş Riski - Hile Riski - Önemli Riskler - İç Kontrol - İç Kontrol Tasarımının Değerlendirilmesi ve Uygulama - Önemli Yanlış Beyan Risklerinin Değerlendirilmesi Görevin kabul edilmesinden veya devamından önce gerçekleştirilen risk değerlendirme prosedürlerinden elde edilen bilgiler, denetim ekibinin işletmeyi anlamasının bir parçası olarak kullanılmalıdır. İşletme ve ortamı hakkında bilgiler, hem dahili hem de harici kaynaklardan elde edilebilir. Çoğu durumda, denetçi dahili bilgi kaynakları ile başlayacaktır; ancak, bunlar, harici kaynaklardan alınan bilgilerle tutarlılık bakımından kontrol edilmelidir. 7
Genellikle ihmal edilen önemli bir bilgi kaynağı ise önceki yıllarda hazırlanan çalışma kağıtlarıdır. Aşağıdaki tablo elde bulunan bazı potansiyel bilgi kaynaklarını göstermektedir. Denetçi UDS 315 e göre, iç kontrolü de dahil olmak üzere işletme ve ortamını anlayabilmek için aşağıdaki risk değerlendirme prosedürlerini gerçekleştirmelidir: (a) İşletme dahilinde yönetim ve diğerleri ile yapılacak Görüşmeler (sorgulamalar), (b) Analitik prosedürler, (c) Gözlem ve teftiştir. a) Yönetim ve Diğerleri ile Görüşme: Bu prosedürün amacı, işletmeyi anlamak ve mevcut olan farklı risk kaynaklarını tanımlamak / değerlendirmektir. Denetçinin, müşteri işletmede sadece ortak, yönetici ve muhasebecilere değil, diğer çalışanlara da süreçler, olağan olmayan olaylar, önemli iş riskleri, iç kontrolün işleyişi vb. konularda sorular sorması yararlıdır. Bazı soru örnekleri aşağıdaki tabloda belirtilmiştir. Tablo: Görüşülecek Konu Başlıkları Sorunun Yöneltileceği Kişiler Yönetim ve Finansal Raporlamadan Sorumlu Olanlar / Yönetimle Sorumlu Olanlar Anahtar Çalışanlar (Satın Alma, bordro, muhasebe vs.) Pazarlama veya Satış Personeli Sorunun Konusu (Ne hakkında Olduğu) - Finansal tablolarda hile ve hata risklerini tanımlama ve onlara cevap verme prosesleri - Yönetimin, iş uygulamaları, politika ve prosedürlere uyum ve etik davranış konusundaki görüşlerine ilişkin çalışanları ile ne şekilde iletişim kurduğu - Oynadıkları rol - İşletme kültürü (değerler ve etik) - Yönetimin işletme biçimi - Yönetimin teşvik planları - Yönetim ihmali için potansiyel - Hile veya şüphelenilen hile bilgisi - Finansal tablo hazırlama ve inceleme süreci Ayrıca yönetimle sorumlu olanların toplantılarına katılma ve toplantı tutanaklarını okumayı da değerlendirin. - Karmaşık ve olağan olmayan işlemlerin başlatılması, işlenmesi veya kaydedilmesi - Yönetimin göz ardı etme boyutu (iç kontrolleri göz ardı etmeleri talep edildi mi) - Kullanılan muhasebe politikalarının uygunluğu / uygulanması - Pazarlama stratejileri ve satış trendleri - Satış performansı teşvikleri 8
- Müşterilerle akdi düzenlemeler - Yönetimin göz ardı etme boyutu (iç kontrolleri veya gelir tanıma muhasebe politikalarını göz ardı etmeleri talep edildi mi?) (Kaynak: IFAC 2007) b) Analitik Prosedürler: Karşılaştırmalı tablolar, trendler, oranlar gibi yöntemler kullanarak gerçekleştirilen Analitik İnceleme Prosedür (AİP) ler, denetçinin işletmeyi hem finansal hem de finansal olmayan yönü ile tanımasını, risklerini değerlemesine yardımcı olur. Örneğin; 2011 yılında İstanbul Sanayi Odasının ilk 500 sıralamasında iyi bir yeri olan bir işletmenin 2012 yılında liste dışı kalması gibi. Analitik prosedürler sadece denetimin başlangıç aşamasında değil, ileride açıklanacağı üzere, bir finansal tablo iddiası için temel kanıt kaynağı olarak (kapsamlı analitik prosedür) ve denetimin sonunda veya sonuna yakın finansal tabloların genel bir incelemesini gerçekleştirirken de kullanılır. AİP lerin sonuçlarından elde edilen bilgiler; önemli finansal tablo kalemlerinde dahil bulunan iddialarla ilgili önemli yanlış beyan risklerini tanımlamak ve diğer denetim prosedürlerinin niteliği, zamanlaması ve boyutunun tasarlanmasına yardımcı olmak için elde edilen diğer bilgilerle birlikte değerlendirilmelidir. c) Gözlem ve Teftiş: Söz konusu prosedür; yönetim ve diğerleri hakkındaki sorgulamaları destekler ve işletme ve ortamına ilişkin bilgi sağlar. Gözlem ve inceleme prosedürleri normalde aşağıdaki tabloda belirtildiği şekilde bir prosedür ve bir uygulama içerir. UDS 520 ye göre risk değerlendirme prosedürleri, denetim boyunca bilgi toplanması, güncellenmesi ve analiz edilmesine ilişkin sürekli ve dinamik bir süreç olmalıdır. Risk değerlendirme prosedürleri, finansal tablo ve iddia düzeylerinde risklerin değerlendirilmesini desteklemek için gerekli olan denetim kanıtını sağlamaktadır. Ancak bu kanıt tek başına değildir. Denetimin risk cevabı evresinde, elde edilen kanıtlar, kontrol testleri ve /veya kapsamlı prosedürler gibi ilave denetim prosedürleri ile ( belirlenen risklere cevap veren) tamamlanmalıdır. Etkin olduğu durumlarda, kapsamlı prosedürler veya kontrollerin testleri gibi ilave prosedürler, risk değerlendirme prosedürleri ile eş zamanlı olarak gerçekleştirilebilir. Denetçi; risk değerlendirme amaçlarına yönelik olarak yukarıda belirtilmemiş olan diğer prosedürleri de kullanılabilir. Örnek olarak: 9
- Geçmişte elde edilen bilgiler, - Önceki görevlerden ve işletme için gerçekleştirilen diğer görevlerden elde edilen deneyim, - Önceki dönemlerde işletme ve ortamı konusunda elde edilen bilgiler (Organizasyonel yapı, iş prosesleri ve iç kontrol; önceki yanlış beyanlar ve bunların zamanında düzeltilip düzeltilmediği vb.), - İşletmenin harici danışmanının veya değerleme uzmanlarının sorguları, - Harici kaynaklardan elde edilen değerlendirme bilgileri, örneğin, bankalar veya derecelendirme kurumlarının raporları, ticaret ve ekonomik dergileri, düzenleyici ve finansal yayınlar, - İç kontrolün değerlendirilmesinden ve kontrol prosedürlerinin uygulanıp uygulanmadığının tespit edilmesinden elde edilen kanıtlar, - İşletmenin finansal tablolarının önemli yanlış beyanlara karşı hassasiyetine ilişkin görev ekibi arasındaki tartışmanın sonuçlarıdır. Sözleşmenin kabulünden önce teklif alma aşaması ile başlayan risk değerlendirme süreci, planlama aşaması ile devam edecektir. Söz konusu süreç aşağıdaki şekilde özetlenmiştir. 10
Risk Değerlendirmesi Sözleşmenin Kabülüne/Devamına Karar Verme Planlanlama Faaliyetleri Önemliliğin Belirlenmesi Ekip Planlama Toplantısı Genel Denetim Stratejisi Risk Değerlendirme Prosedürleri Doğal risklerin belirlenmesi&d eğerlenmesi Kontrol risklerinin belirlenmesi & değerlenmesi Önemli eksikliklerin iletişimi Sonuçlandırma: Finansal tablo ve iddia (beyan) düzeyinde ÖYR nin (hata&hile) değerlenmesi Bulguların belgelenmesi ve planda değişiklikler (ÖYR = Önemli Yanlışlık Riski) Şekil: Adım- Risklerin Değerlendirilmesi (Kaynak: Mazars 2012; IFAC 2011) 1.2. İŞİN KABULÜ VE DEVAMI Uluslararası denetim standartlarına göre işin kabulünden önce ön araştırma yapılması zorunludur. Bu konuyla ilgili esaslar ISA 210, ISA 220 ve ISA 300 nolu denetim standartlarının çeşitli maddelerinde düzenlenmiştir. Standartlara göre denetim yaptıracak işletmelerin denetim şirketini seçerken, bu hizmeti verecek denetim şirketinin imkânlarını, uzmanlık ve deneyimlerini dikkate alması gerekmektedir. 11
Ayni şekilde standartlara göre denetim kuruluşları, sahip oldukları organizasyon, personel ve mesleki uzmanlıkları ile sonuçlandıramayacakları bir denetim hizmetini üstlenemezler. Ayrıca dürüstlüğünden şüphe edilen ya da denetim ücretleri veya denetimin uygun şekilde yürütülmesi konusunda sürekli tartışma yaratan bir müşteriye denetim şirketinin daha dikkatli yaklaşması gerekir. Denetim ile ilgili düzenleme ve standartlarda yaptırım gücü olan bazı düzenlemeler söz konusudur. Ancak o aşamaya kadar bağımsız denetçi zarara uğrayabilir. Uluslararası denetim standardı ISA 200 e göre sorumlu ortak baş denetçi, aşağıda belirtilen hususları dikkate alarak müşterinin kabulü, müşteriyle olan ilişkinin devamı ve özellik arz eden bağımsız denetimlerle ilgili gerekli usul ve esasların izlendiğinden emin olmak ve ulaşılan sonuçları yazılı hale getirmek zorundadır: (1) İşletme yönetiminde etkili olanlar ve yönetimden sorumlu kişiler ile ana ortakların dürüstlüğü, (2) Denetim ekibinin islerin yapılması bakımından yeterliliği ve gerekli zaman ve kaynağa sahip olup olmadığı, (3) Denetim kurulusu ve ekibin etik ilkelere uyup uymadığı. Kalite Kontrol Standardı (ISQC 1) e göre; bağımsız denetim firmasının ve personelinin profesyonel standartlar ve düzenleyici ve yasal şartlara uyduğu ve firma veya görev ortakları tarafından yayınlanan raporların koşullar bakımından uygun olduğuna ilişkin makul güvence sağlamaya yönelik olarak tasarlanmış bir kalite kontrol sistemi tesis etmelidir. Yeni bir müşteri için denetim teklifinin kabulü veya mevcut müşteri ile denetim işinin devamından önce, denetim firmasının benimsemiş olduğu kalite kontrol prosedürlerine uygunluğunun araştırılması önemlidir. Örneğin, yöneticilerin dürüstlüğü, denetimin hangi amaçla yaptırıldığı gibi sorulara yanıt aranmalıdır. Denetim raporu finansal tabloların güvenilirliğini artırdığı için, finansal tabloların kullanılacağı muhtemel alanları araştırması gerekmektedir. Genellikle finansman sıkıntısı içindeki firmalar yeni krediler bulmak için bağımsız denetim yaptırmaktadır. Ülkemizde ise genellikle işletmeler yasal zorunluluktan dolayı bağımsız denetim hizmeti talep edebilmektedir. Denetim firmasında, devam eden bir müşteri için yıllık olarak denetim ilişkisinin sürdürülüp sürdürülmeyeceğine karar verilmesi gerekir. Söz konusu kararda öncelikle, ortakların ve yöneticilerin dürüstlüğü ile yasalara uyum düzeyine bakılır. Denetçi müşteri kabulünün denetçi bağımsızlığını etkileyip etkilemediğini de araştırır. Örneğin, denetçi bağımsızlığın korumak için, önceki yılın denetim ücretinin ödenmiş olması gerekmektedir. 12
1.2.1. İşin Kabulü ve Devamı Genel Bakış Bağımsız denetim firması, müşteri ilişkileri ve spesifik görevlerin kabulü ve sürekliliği için politikalar ve prosedürler tesis etmeli, bunlar sadece aşağıdaki durumlarda ilişkilerin ve görevlerin üstlenileceği ve devam edeceği konusunda makul güvence sağlamaya yönelik olarak tasarlanmış olmalıdır: (a) Müşterinin dürüstlüğünün göz önüne alınması ve müşteride dürüstlük eksikliği olduğu sonucuna varılmasına neden olacak herhangi bir bilginin olmaması, (b) Denetim firmasının görevleri yerine getirme konusunda yetkin olması ve bunu yapmak için kapasite, zaman ve kaynaklara sahip olması, ve (c) Etik şartlara uyum olmalıdır. ISQC 1 ve UDS 220, şirketlerin, müşteri kabulü ve müşteriyi elde tutma politikalarına ilişkin olarak kalite kontrol prosedürleri geliştirmelerini, uygulamalarını ve belgelemelerini gerekli görmektedir. İdeal olarak, bu politikalar ve prosedürler, firma tarafından kabul edilemeyecek olan risk düzeyine hitap etmelidir. UDS 220 ye göre, denetçinin müşteri kabul veya devamılılık prosedürleri ise aşağıdaki gibi bildirilmektedir: Sorumlu ortak, müşteri ilişkileri ve spesifik denetim görevlerinin kabulü veya sürekliliğine ilişkin uygun prosedürlerin takip edildiği ve bu konuda varılan sonuçların uygun olup belgelendiği konusunda tatmin olmalıdır. Sorumlu ortak, reddetmesine neden olabilecek bilgileri elde ederse, söz konusu bilgileri derhal firmaya iletmelidir, böylelikle firma ve sorumlu ortak gerekli eylemde bulunabilecektir. Başlangıç denetimi görevleri için, UDS 300 e göre; müşterinin neden olduğu risklere ek olarak, denetim firmasının görev gerçekleştirme kapasitesini inceleme konusunda da bir ihtiyaç söz konusudur. Bu, iş gerektiğinde uygun vasıflı personelin bulunabilirliğini, uzmanlaşmış yardım ihtiyacını, herhangi bir çıkar çatışmasını ve müşteriden bağımsızlığı içerecektir. Sözleşmenin kabulü veya devamına ilişkin akış şeması örneği aşağıda sunulmuştur. 13
Faaliyet Amaç Belgeleme Ön sözleşme faaliyetlerinin gerçekleştirilmesi Sözleşmenin kabulüne karar verme Risk faktörlerinin listelenmesi Bağımsızlık Sözleşme metni Sözleşme kabul/devam süreçlerindeki ana adımlar aşağıda özetlenmiştir. Denetim sözleşmelerinde kabul/devam süreci: Denetim kuruluşunun kaynağı, zamanı ve yeterliliği var mı? Denetim kuruluşu bağımsız ve çıkar çatışmasından uzak mı? Riskler kabu edilebilir mi? Kabul ya da Devam Tehlike ve sorunların nasıl çözüldüğü ve gerçekleştirilen prosedürleri belgele Evet Hayır Denetim şartları mevcut mu? Herhangi kapsam sınırlamaları var mı? Sözleşme koşullarında fikirbirliği Sözleşme metninin hazırlanması/imzal anması Dur Şekil: Sözleşmenin Kabulü veya Devamı (Kaynak: Mazars 2012; IFAC 2011) Her bir bağımsız denetim için en az üç asıl ve üç yedekten olmak üzere altı kişiden oluşan bir bağımsız denetim ekibi oluşturulması zorunludur. Dolayısıyla her bir bağımsız denetim, en az üç kişi olmak üzere işin gerektirdiği sayı ve nitelikte bağımsız denetçiden oluşan ekip tarafından gerçekleştirilir (SPK, X/22 No lu Tebliğ, II. Kısım, Md.19). Denetçi diğer değerlendirmeler kapsamında, iş riski ile ilgili değerlendirmeler de gerçekleştirir. Örnek olarak; ödeme alamama riski veya firmanın itibarına zarar verecek bir işletme ile ilişkilendirme riski gibi. Aşağıdaki tabloda, denetçinin bazı muhtemel sorularına örnekler verilmektedir. Tablo: İşletmeyi Kabul Aşamasında Sorulacak Sorulara Örnekler Ne Gerekli? - Denetimin niteliği ve kapsamı nedir? - Denetim raporu ve finansal tablolar nasıl kullanılacaktır? - Denetimin tamamlanması için süre nedir? Firmanın Hizmet - Denetimi gerçekleştirmek için ehliyeti haiz ve Etme Kabiliyeti - Gerekli zaman ve kaynaklara sahip bir görev ekibi denetim firması tarafından oluşturulabiliyor mu? - Firma ve ekip etik şartlara uyabiliyor mu? - Gerçekçi olmayan süreler veya gerekli denetim kanıtının elde edilememesi gibi kapsam kısıtlamaları var mı? - Yeni görevler için, firma önceki denetçi ile, kabul etmeme konusunda herhangi bir nedenin olup olmadığına Ele Alınacak Potansiyel Sorunları Ekleyin ilişkin iletişime geçti mi? Ele alınacak zor veya zaman alıcı konular var mı (muhasebe politikaları, tahminler, endüstri yapısı, yasalarla uyumluluk vs.?) - Bu yıl, görevi etkileyecek ne gibi değişiklikler meydana 14
İşletmenin Yönetiminin Yapısı geldi? (iş girişimleri, finansal raporlama, IT sistemleri, birleşmeler, düzenlemeler vs.?) - Üst düzey kamusal inceleme veya medya ilgisi var mı? - İşletme iyi finansal durumda mı ve mesleki ücretleri ödeme kapasitesi var mı? - Asıl sahiplerin, üst düzey yönetimin ve işletmenin idaresinden sorumlu olanların dürüstlüğünden şüphe etmek için herhangi bir neden var mı? - Üst düzey yönetim ve personel ne düzeyde yetkin? - Yönetimin iç kontrole yönelik tavrı nedir? (kurumsal kültür, organizasyonel yapı, risk istekliliği, işlemlerin karmaşıklığı vs. yi göz önüne alın) - Müşteri, bilgilerin edinilmesi, çizelgelerin hazırlanması, bakiyelerin analizi, veri dosyalarının temini vs. konularında firmaya yardımcı olacak mı? (Kaynak: IFAC, 2007). Denetçi ayrıca açık kaynaklardan ve arka plan kontrolleri diyebileceğimiz 3. kişilerden ne tür bilgiler elde edilebileceğini de değerlendirir. Örnek olarak; önceki dönem faaliyet raporları, vergi beyannameleri, kredi raporları, değerlendirme raporları, bankacılar ve avukatlarla görüşmeler gibi. Bağımsız denetçi müşteri işletme talep ederse, müşteri bilgilerinin korunması için ilave gizlilik sözleşmesi imzalayabilir. Dolayısıyla denetim ekibine ve tüm çalışanlarına müşterinin gizli bilgilerini koruma ve uygulanabilir etik kurallara ilişkin bilgi verilmesi uygun olur. 1.2.2.Denetim Sözleşmesinin İmzalanması Ön çalışmalar sonucunda denetim şirketi bir risk değerlendirmesi yaparak müşteriyle yazılı bir anlaşma yapılmasına ya da önceki sözleşmenin devamına karar verir. Denetimin amacını, kapsamını ve tarafların sorumluklarını ayrıntılı bir şekilde belirleyen bu hukuki anlaşma belgesine denetim sözleşmesi denir. Standartlara uygun bir denetim sözleşmesi; denetim şirketinin denetim görevini üstlenmeyi kabul ettiğini, denetimin amacını ve kapsamını, denetçinin müşteriye ve müşterinin denetçiye karsı sorumluluklarını ve denetim sonunda müşteriye verilecek olan denetim raporu türlerine ilişkin hükümleri kapsar. Sözleşmenin taşıması gereken asgari nitelikler uluslararası denetim standartlarında düzenlenmiştir. UDS 210 a göre; denetçi ve müşteri işletme, sözleşmenin aşağıdaki koşullarında mutabık kalmalıdır. Bunlar: 15
Devam eden denetimlerde, denetçi, koşulların görev şartlarının revize edilmesini gerektirip gerektirmediği ve müşteriye mevcut görev koşullarının hatırlatılmasının gerekip gerekmediğini değerlendirmelidir. Görevin tamamlanmasından önce, kendisinden görevi, daha düşük düzeyde güvenilirlik veren bir denetçi ile değiştirmesi talep edilen bir denetçi, bu şekilde hareket etmenin uygun olup olmadığını değerlendirmelidir. Görevin koşullarının değiştiği durumlarda, denetçi ve müşteri yeni koşullar üzerinde mutabık kalmalıdır. Denetçi, bu konuda makul gerekçe olmadığı durumlarda görevde yapılacak bir değişikliği kabul etmemelidir. Eğer denetçi bir görev değişikliğini kabul edemezse veya asıl göreve devam etmesine izin verilmezse, denetçi çekilmeli ve yönetimle sorumlu olanlar veya hissedarlar gibi diğer taraflara, çekilmeyi gerektiren koşulları rapor etme konusunda herhangi bir akdi veya diğer türlü yükümlülüğün olup olmadığını değerlendirmelidir. Sözleşme yapmadan önce, sözleşme mektubunun bir benzeri teklif olarak sunulabilir. Denetim sözleşmesinde genellikle belirtilen hususlar şunlardır: Finansal tabloların denetiminin amacı, Finansal tablolar konusunda yönetimin sorumluluğu, Uygulanabilir yasalara, düzenlemelere veya denetçinin tabi olduğu meslek organlarının bildirimlerine atıf da dahil olmak üzere denetimin kapsamı, Görev sonuçlarına ilişkin rapor veya diğer iletişim formları, Denetimde önemli yanlış beyanların bile saptanamaması gibi kaçınılmaz bir riskin bulunduğu Denetimle bağlantılı olarak talep edilen her türlü kayıtlara, belgelere ve diğer bilgilere kısıtlamasız erişim olanağı Görev mektubu aynı zamanda aşağıdaki hususları da içerebilir: Denetimin planlanması ve ifasına ilişkin düzenlemeler, Denetimle bağlantılı olarak yapılan beyanlara ilişkin yönetimden yazılı teyit alma beklentisi, Müşteri için, görev mektubunu kabul ederek görevin şartlarını teyit etme talebi, Denetçinin müşteriye vermeyi beklediği diğer mektupların veya raporların tanımları, Ücretlerin ve faturalandırma düzenlemelerinin hesaplanma temeli, Mümkün olması durumunda denetçinin yükümlülüğü üzerindeki herhangi bir kısıtlama, Denetçi ve müşteri arasındaki ilave anlaşmalara yapılacak bir atıf. Denetim sözleşmesi ideal olarak her yıl, ancak en geç üç yılda bir güncellenmelidir. Her yıl yeniden sözleşme düzenlememek için, sözleşmeye; yenisi düzenleninceye kadar bu 16
sözleşme geçerliliğini sürdürecektir şeklinde bir madde eklenebilir. UDS 210 a göre; yasal gereklilikler ve işletme ile önemli değişiklikler (yönetimin yapısı, iş hacmi, ortaklık yapısı, üst düzey yönetimde yaşanan değişiklikler vb.) olduğunda, yeni bir sözleşme yapmak gerekir. Denetçi yeni müşteri firmayı, sektördeki yeri, finansal istikrarı, yönetici ve sahiplerinin dürüstlüğü gibi mümkün olduğu kadar çeşitli yönlerden araştırır. Denetim standartlarına göre, ayrıca denetçinin önceki denetçi ile de görüşmesi gerekmektedir. Önceki denetçi, müşteri işletmeden izin almak kaydıyla işletme hakkında bilgi verebilir 2. Denetim süresince ihtiyaç duyulması halinde dışarıdan uzman görevlendirilebilir. Bu takdirde denetçinin, uzmanın niteliklerini ve müşteri işletme ile ilişkisinin olup olmadığını öğrenmesi gerekir. Dışarıdan bir uzmanını hizmetinden yararlanma konusunda ileride daha geniş açıklama yapılacaktır. Bağımsız denetim kuruluşları, söz konusu denetim standartları tebliğinde belirtilen başka unsurların da bağımsız denetim sözleşmesinde yer almasını isteyebilirler. Ayrıca denetimi yapılan işletmelerin ara donem denetimlerinin de yapılması durumunda buna ilişkin özel bazı hükümlerin de sözleşme maddesine eklenmesi gerekmektedir. Denetim sözleşmesini denetim firması hazırlar ve müşteriye gönderir, müşterinin inceleyip imzalamasını takiben denetim şirketi tarafından da imzalanmış olan sözleşme tamamlanmış olur. İlgili mevzuat kapsamında denetimi söz konusu olan işletmelerin denetim sözleşmesi örneğinin müşteri ve denetim şirketi tarafından düzenleyici otoriteye gönderilmesi gerekmektedir. Denetim firmasının kalitesine ilişkin uluslararası denetim standardı (ISQC-1) de denetçi rotasyonu öngörülmüş olup bir denetim şirketinin aynı denetim ekibiyle bir müşteriye düzenleyici mevzuatta öngörülen sürelerde (örneğin SPK nın son düzenlemesine göre 5 yıl ) üst üste denetim hizmeti vermesi mümkün değildir. Bunun için belli bir süre (SPK ya göre) 2 yıl geçmesi gerekir. Benzer bir düzenleme yeni TTK da da yer almaktadır. TTK ya göre 10 yıl içinde aynı şirket için toplam yedi yıl denetçi olarak seçilen denetçi üç yıl geçmedikçe denetçi olarak yeniden seçilemez Kamu Gözetimi Muhasebe ve Denetim Standartları Kurumu bu süreleri kısaltmaya yetkilidir (TTK Md.400/2). Denetçi, denetleme yaptığı şirkete, vergi danışmanlığı ve vergi denetimi dışında, danışmanlık veya hizmet veremez, bunu bir yavru şirketi aracılığıyla yapması da yasaklanmıştır (TTK Md.400/3). Sözleşme müşteri işletmenin yetkilileri tarafından imzalanmalıdır. UDS 210 a uygun genel amaçlı bir denetim sözleşmesi örneği aşağıda sunulmuştur. Bağımsız denetim kuruluşlarının ve denetçilerin yapacakları denetimler için taraflar arasında imzalanacak 2 SMMM ve YMM meslek mensupları, ilgili yönetmelikler çerçevesinde ve mesleki eğitimde birbirlerine her türlü bilgiyi vermek ve aktarmak sorumluluğu vardır (Çalışma U.ve E.Hak. Yön., Md.8). Ancak, aynı zamanda sır saklama yükümlülüğü gereğince izin verilen haller dışında öğrendikleri bilgi ve sırları mesleki faaliyetlerine son verseler bile açıklamaları yasaktır (Çalışma U.ve E.Hak. Yön., Md.7). 17
sözleşmelerde bulunması gereken asgari özellikler Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yayımlanan Bağımsız Denetim Yönetmeliği 3 Md.19 da sıralanmıştır. Tablo : UDS lere Uygun Denetim Sözleşmesi Örneği Yönetim Kurulu Başkanlığına veya Üst Düzey Yönetim Temsilcisine, Şirketiniz tarafından, bizden 31.12.2010 tarihli bilanço, 2010 yılı gelir tablosu, nakit akış tablosu ve öz sermaye değişim tablosu ile önemli muhasebe politikaları ve diğer açıklayıcı notların toplamını içeren finansal tabloların muhasebe denetimini talep etmiştiniz. Bu sözleşme vasıtasıyla, söz konusu anlaşmaya bakışımızı ve kabulümüzü teyit etmekten mutluluk duyarız. Yapacağımız denetim, finansal tablolar hakkında bir görüş açıklama amacıyla gerçekleşecektir. Denetim çalışması Uluslararası Denetim Standartları (UDS) lere uygun bir şekilde yürütülecektir. UDS ler, finansal tabloların önemli yanlışlıklar içerip içermediği konusunda makul bir görüşe ulaşmak için denetimin gerçekleştirilmesini, planlanmasını ve etik kurallara uymayı gerektirmektedir. Bir muhasebe denetimi çalışması, finansal tablolardaki açıklamalar ve tutarlara ilişkin olarak denetim kanıtı elde etmeye yönelik prosedürlerin gerçekleştirilmesini içerir. Söz konusu denetim prosedürlerinin seçiminde, finansal tablolara ilişkin önemli yanlışlık risklerinin değerlenmesinde, bunların hata veya hileden kaynaklanması konularında muhasebe denetçisi öznel yargısıyla karar verir. Muhasebe denetimi, finansal tabloların bütün olarak sunuluşunun değerlendirilmesi yanında, yönetim tarafından yapılan muhasebe tahminlerinin ve kullanılan muhasebe politikalarının değerlendirilmesini de içerir. Muhasebe denetiminde, işletmenin muhasebe ve iç kontrol sisteminin yapısal sınırlamalarından, muhasebe denetimi çalışmasının doğal sınırlamalarından ve test yapısından kaynaklanan, önemli yanlışlıkların bulunamaması gibi kaçınılmaz bir risk söz konusudur. Risk değerlemesi sürecinde, işletmenin iç kontrol yapısının etkinliğini değerleme yanında, uygulanacak denetim prosedürlerinin tasarlanması için ayrıca, finansal tabloların hazırlanmasıyla ilgili iç kontrol yapısı da dikkate alınacaktır. Bunal birlikte biz, muhasebe denetimi sürecinde dikkatimizi çeken, finansal raporlamayla ilgili iç kontrollerin gerçekleştirilmesi veya tasarlanmasındaki önemli zayıflıklarla ilgili ayrı bir sözleşme mektubunu da size sunmak istiyoruz. Finansal tabloların Uluslararası Finansal Raporlama Standartları (UFRS) lere uygun olarak hazırlanması, şirketin nakit akışlarının, finansal performansının ve finansal durumunun doğru bir şekilde sunulması konularında asıl sorumluluğun şirket yönetiminde olduğunu hatırlatmak istiyoruz. Tarafımızca hazırlanacak denetim raporunda yönetimin söz konusu sorumluluğu açıklanacaktır. İşletme yönetiminin söz konusu sorumluluğu aşağıdaki hususları da içermektedir. Bunlar: Hata veya hile olup olmadığına bakılmaksızın finansal tabloların yanlışlık içermeyecek şekilde hazırlanmasıyla ilgili iç kontrolü sağlama, gerçekleştirme ve sürdürme, 3 Resmi Gazete, Tarih: 26.12.2012, Sayı: 28509. 18
Uygun muhasebe politikalarının seçimi, Muhasebe tahminlerinin duruma uygun yapılması. Denetim sürecinin bir parçası olarak, bize denetim kapsamında teslim edeceğiniz bilgi ve belgelerle ilgili olarak işletme yönetiminden yazılı bir doğrulama isteyeceğiz. Çalışmalarımızda tam bir iş birliği bekliyoruz. İşletme çalışanlarının denetim süresince ihtiyaç duyacağımız bilgi, belge ve kayıtları tarafımıza sunacaklarına inanıyoruz. Denetim ücreti, faturalama gibi ihtiyaç duyulan ilave bilgiler buraya eklenebilir Lütfen bu sözleşmeyi imzalayınız ve muhasebe denetimi konusunda belirlenen koşulları kabul ettiğinizi göstermek için bir örneğini tarafımıza gönderiniz. XYZ Muhasebe Denetimi A.Ş. ABC Şirket Yetkilisi (İmza) Adı ve Soyadı Tarih 1.3. GENEL DENETİM STRATEJİSİNİN OLUŞTURULMASI VE FİNANSAL TABLO DENETİMİNİN PLANLANMASI Denetim sözleşmesinin imzalanmasıyla denetim işi fiilen başlamış olur. Bu nedenle denetçinin standartlarda öngörülen şekilde genel bir denetim stratejisi belirlemesi ve bu yaklaşım çerçevesinde geliştireceği bir planla denetim işini yürütmesi gerekmektedir. Planlama, bütün kurum faaliyetlerinin en temel unsurlarından birisidir. Denetim faaliyetlerinin planlanması, kurum içi organize ve sistematik bir denetim yaklaşımını sunacaktır. Denetim planı, kaynakların denetim fonksiyonuna etkin bir şekilde tahsisini sağlar. Denetim planı, denetimin amaç ve hedeflerini kapsaması nedeniyle denetçiler arasında iş birliğinin sağlanmasına da zemin hazırlar (Tanç, 2009:168). Denetim stratejisi ile planlama birbirini takip eden ve iç içe geçmiş süreçler olup, strateji belirleme denetimin başlangıcında olurken, planlama denetim süresince söz konusudur. Denetim planı ve programlar stratejiye göre daha geniş ve ayrıntılıdır. Denetim stratejisi ve planlamanın denetim sürecinde konumu aşağıdaki şekilde belirtilmiştir. 19
Risk Değerlendirme Riske Yanıt (Karşılık) Raporlama Denetim Planlama Gerektikçe Planı Değiştir ve Sürekli Güncelle Genel Denetim Stratejisi Kapsam Hedefler / Zamanlama Önemlilik Önemli Değişiklikler Ayrıntılı Denetim Planı Değerlenmiş Risklere Karşılık Verme Denetim Prosedürlerinin Kapsamı, Zamanı ve Yapısı Ekip Üyelerinin Belirlenmesi / Müşteri İşletme Kurumsal Yönetimden Sorumlu Üyeleri ve Üst Yönetim İle İletişim Şekil: Denetim Planlamanın Üç Aşaması (Kaynak: IFAC, 2007) 1.3.1. Genel Denetim Stratejisinin Oluşturulması UDS lere göre denetçi, bağımsız denetim çalışmasının kapsamının zamanlamasının ve yönlendirmesinin uygun şekilde yapılmasını sağlamak amacıyla aşağıda belirtilen hususları dikkate alarak bir denetim stratejisi geliştirmek zorundadır. Denetim görevinin kapsamını ve özelliklerini belirlemek. Örneğin İşletmeye özgü uygulanabilir finansal raporlama standartları nelerdir? Sektöre özgü ek raporlama gereklilikleri var mıdır? İşletmenin faaliyet birimleri nerelerdedir? gibi hususların belirlenmesi gerekir Denetimin zamanlamasını ve iletişimde bulunulacak kişileri ve bunlarla görüşmeleri planlamak için yapılacak raporlamanın amacını belirlemek. Denetim ekibinin yönlendirilmesinde denetçinin mesleki yargısını oluşturmasına imkân veren faktörleri belirlemek Başlangıç denetim çalışmasının sonuçlarını değerlendirmek Denetimin yapısını zamanını ve kapsamını belirlemek Denetim stratejisi denetim ekibinin çalışmalarının ağırlık verileceği önemlilik düzeyinin belirlenmesine, önemli yanlışlık riski yüksek olan faaliyet ve birimlerinin bir ön 20
belirlemesinin yapılmasına ve işletmenin faaliyette bulunduğu sektörün iş koşullarının finansal raporlama ve diğer konularla ilgili önemli gelişmelerin değerlendirilmesine yardımcı olur. Böyle bir stratejinin geliştirilmesinde önceki denetim faaliyetleri ile benzer işletmeler için yapılmış denetim çalışmalarından da yararlanılır. Yürütülecek bir denetim çalışmasının kapsamı, zamanlaması ve yönlendirmesine rehberlik edecek denetim stratejisi kapsamında dikkate alınması gereken faktörler 300 no lu denetim standardının ekinde sıralanmıştır. Söz konusu ekte belirtilenlerle sınırlı olmamakla birlikte denetçiler bu faktörleri dikkate alarak bir yazılı doküman oluşturabilirler. Küçük işletmelerde yürütülecek denetim stratejisinin kapsamının büyük işletmelerdeki kadar karmaşık olması gerekmez. Önceki dönem denetim çalışmalarının tamamlanmasını takiben çalışma kağıtları ve önemli hususlar gözden geçirilerek standartlardaki gereklilikleri karşılayan daha basit bir belge de hazırlanabilir. UDS 300 e göre; denetçi, denetimi, görev etkin bir şekilde gerçekleştirilecek şekilde planlamalıdır. Denetçi, denetim riskini kabul edilebilir düşük bir düzeye indirmek için denetim için bir denetim planı geliştirmelidir. Genel denetim stratejisi ve denetim planı denetim sırasında gerektiği şekilde güncellenmeli ve değiştirilmelidir. Genel strateji, denetimin risk değerlendirme evresinde başlamaktadır. Ayrıntılı denetim planı, uygun bir denetim cevabı geliştirmek için değerlendirilen riskler konusunda yeterli bilgi olduğunda başlayabilir. Bu genellikle denetimin risk cevabı evresinde gerçekleşecektir. 1.3.2. Denetimin Planlanması Plan en geniş anlamda bir işin amaca uygun şekilde başarılması için tasarlanan düzen olarak tanımlanabilir. Uluslararası denetim standartlarına göre denetçinin denetim işini planlamasını ve bu plan dahilinde gerçekleştirmesini öngörmektedir. Denetimin planlanarak yürütülmesinin genel olarak üç temel yararı bulunmaktadır. Denetim planı; (1) Yeterli ve uygun denetim kanıtı elde etmeye yardımcı olur (2) Denetim maliyetinin makul bir düzeyde tutulmasını sağlar (3) Müşteriyle yanlış anlaşılmaların önüne geçer. Planlama ayrı bir denetim evresi değildir. Ancak devamlı ve tekrarlamalı bir süreçtir ki bu süreç önceki denetim çalışmasının tamamlanmasından hemen sonra başlar ve cari dönem denetim işinin tamamlanmasına kadar devam eder. Planlama belli faaliyetlerin ve ilave denetim yöntemlerinin uygulanmasından önce tamamlanması gereken denetim yöntemlerinin zamanlamasını kapsar. Örneğin planlama önemli yanlışlık riskinin tanımlanması ve değerlendirmesinden önce şu hususların dikkate alınmasını gerektirir. 21
Uygulanması gereken risk değerlendirme yöntemleri ve analitik prosedürler, Kurumun tabi olduğu yasal ve düzenleyici çerçeve ve kurumun bu çerçeveye nasıl uyum sağladığının genel olarak değerlendirilmesi, Önemliliğin belirlenmesi, Uzmanların dâhil edilmesi, Diğer risk değerlendirme yöntemlerinin uygulanmasıdır. Denetim planı görev ekibi tarafından yürütülecek denetim yöntemlerinin yapısını kapsamını ve zamanlamasını içeren genel denetim stratejisinden daha detaylıdır. Planlamada daha çok asıl denetime ilişkin prosedürler yer alır. Örneğin denetçi ilk olarak risk değerlendirme yöntemlerini planlar. Spesifik diğer denetim yöntemlerinin yapısının, zamanının ve kapsamının planlanması bu risk değerlendirme yöntemlerinin sonuçlarına bağlıdır. Ayrıca denetçi geriye kalan bütün ek denetim yöntemlerini planlamadan önce işlemler hesap bakiyeleri ve açıklamaların bazı sınıfları için ek denetim yöntemlerinin uygulanmasına başlayabilir. Beklenmedik olaylar, koşullardaki değişmeler veya denetim yöntemleri sonucunda elde edilen denetim kanıtlarının bir sonucu olarak denetçi genel denetim stratejisini ve denetim planını ve bunun yanında değerlendirilmiş risklerin revize edilmesine dayalı diğer denetim tekniklerinin planlanan yapısını, zamanlaması ve kapsamını değiştirme ihtiyacı duyabilir. Yeni bilgiler elde ettikçe denetçinin dikkate alacağı hususlar da değişebilir. Örneğin maddi doğruluk yöntemlerinin uygulanmasıyla elde edilen denetim kanıtı kontrol testleriyle elde edilen denetim kanıtıyla çelişebilir. Planlama aşamasında denetim ekibinin yönlendirilmesi ve gözetiminin yapısı, zamanlaması ve kapsamı ile işin yeniden gözden geçirilmesi aşağıdaki faktörlere bağlı olarak farklılık gösterir: Kurumun büyüklüğü ve karmaşıklığı Denetim alanı Değerlendirilmiş önemli yanlışlık riski (örneğin verilen bir denetim alanında değerlendirilmiş önemli yanlışlık riskindeki bir artış genellikle ekibin yönlendirilmesi gözetimi ve izlenmesine ilişkin kapsamı ve zamanlılığını artırabilir) Denetim işini yürüten ekibin üyelerinin her birinin kapasitesi ve yeteneği (bu konuda ISA 220 de daha detaylı olarak bilgi bulunmaktadır). UDS 300 e göre küçük işletmelerde bir denetimin bütünüyle sorumlu ortak tarafından yürütülmesi durumunda denetim ekibinin yönlendirilmesi ve gözetimi ile yaptıkları işin yeniden gözden geçirilmesi durumu olmayacaktır. Böyle durumlarda işin bütün yönleriyle şahsen yürütülmesini üstlenen denetim ortağı bütün önemli konulara vakıf olacaktır. Asıl denetimde yapılan yargıların uygunluğu konusunda objektif bir görüş oluşturma aynı bireyin tüm denetimi yürütmesi halinde uygulamaya ilişkin sorunlar yaratabilir. Eğer özellikle 22